No, non esiste alcuna protezione aggiuntiva contro gli exploit remoti, ma dovresti sempre impostare una password dell'account ovunque sia umanamente possibile , per un'intera serie di motivi non correlati ai bug di esecuzione di codice in modalità remota.
Gli exploit remoti di solito determinano l'esecuzione di codice e quel codice verrebbe eseguito sotto il livello di privilegio dell'utente che stava eseguendo il servizio o l'applicazione sfruttata. In quanto tale, il meccanismo della password è interamente escluso.
Questo è in particolare il caso dei servizi in esecuzione con account di servizio dedicati, come SERVIZIO DI RETE, SERVIZIO LOCALE o SISTEMA, che non tecnicamente hanno password in primo luogo - hanno gli hash NTLM con valori casuali, e il login è disabilitato per loro.
L'unica protezione che riesco a vedere è in uno scenario in cui un utente con privilegi limitati (ad esempio un account limitato o guest) esegue un'applicazione aperta alla rete e tale applicazione viene sfruttata. Da lì, un account senza password è un obiettivo per l'escalation dei privilegi orizzontale o l'escalation dei privilegi verticale se l'account viene eseguito come amministratore.
Tutto sommato, suggerirei che una password sia sempre impostata su tutti gli account utente, ma non per ragioni di protezione da sfruttamento remoto. Ci sono tanti altri motivi per impostare una password.